Re: OT: certifikát na USB disku
Jiri Foldyna
jiri.f na foldynovi.cz
Pondělí Leden 8 21:49:14 CET 2018
Dne 08.01.2018 v 21:23 Jindroush napsal(a):
> On 8.1.2018 21:14, Jiri Foldyna wrote:
>> Dne 08.01.2018 v 19:17 Jindroush napsal(a):
>>> Dobry den,
>>> abych si to upresnil:
>>>
>>> Neni certifikat jen nejaky soubor ulozeny na disku? Tj. vas dotaz je,
>>> jak donutit cizi aplikaci nebo primo windows samy (pokud aplikace
>>> vyuziva Windowsovsky cert store), aby si samy od sebe vyhledaly na
>>> nejakych remote-storage discich soubor s certifikatem a zadani hesla?
>>>
>>> On 8.1.2018 18:39, Jiri Foldyna wrote:
>>>> potřeboval bych nekvalifikovanému uživateli umožnit použití
>>>> kvalifikovaného osobního certifikátu bez nutnosti trvalé instalace
>>>> na počítači. OS je Windows 7 Professional, certifikát (PostSignum)
>>>> nebyl vytvořen jako dedikovaný pro instalaci do kryptografického
>>>> úložiště. Nemá prosím někdo zkušenost s instalací certifikátu do
>>>> fyzického úložiště vytvořeného na USB flash disku (běžného, ne
>>>> kryptografického úložiště na USB tokenu)?
>>
>> Dobrý den,
>>
>> ano, to je v podstatě ono. Uživatel dostal certifikát od PostSignum ve
>> formě .crt souboru, naimportoval jej do svého počítače a následně
>> vyexportoval pro daší import. Uživatel je lékařka v důchodovém věku,
>> osobní kvalifikovaný certifikát je (díky eReceptu) nucena používat při
>> zástupech a na službách, vesměs v prostředí, kde nemůže být ani řeči o
>> tom, že by měla certifikát importovaný do úložiště v registrech
>> Windows na pracovišti pod kontrolou.
>> Pokud jsem to stihl, zařídil jsem pro ně osobní certifikáty na TokenMe
>> (kryptografické úložiště), kde je riziko kompromitování certifikátu
>> podstatně nižší; v tomto konkrétním případě jsem to ale nestihl a tak
>> bych certifikát rád udržel alespoň na hw pod kontrolou uživatele.
>> Představa je taková, že bych chtěl certifikát importovat do uložiště
>> vytvořeného na běžném USB flash disku a toto úložiště zpřístupnit na
>> cílovém počítači tak, aby jej aplikace využívající Windows
>> certifikační mechanismus našla a certifikát dokázala použít.
>> Samosebou, mohu certifikát naimportovat do již zmíněného tokenu, ale
>> zajímalo by mě, jestli je naznačený způsob přes vyměnitelné médium
>> vůbec možný a pokud ano, tak jak :-)
>
> Zkoumal jsem, nenasel jsem zadny zpusob, jak donutit windows, aby si
> samy od sebe zacaly hledat soubor na usb, a stejne by ho akorat natvrdo
> naimportovaly. Existuje moznost mit ho v roaming profilu, ale to zase
> vyzaduje AD, tj. zcela jine pouziti.
>
> Mozna by slo napsat vlastni CSP (cryptography service provider), ale zni
> to tak salene, ze je samozrejme reseni pres ten token jako nejschudnejsi.
>
> V kazdem pripade se domnivam, ze kazdy lekar by mel mit ten cert na
> smartcard/tokenu a s heslem a nosit ho ssebou. Jinak si zacnu pripadat
> jako v dobe, kdy smazkam stacilo ukrast stos tech spravnejch receptu a
> razitko ;)
Dobrý den,
to mi je jasné. Problém je v tom, že je spousta lékařů, kteří se v
problematice elektronického podpisu vůbec neorientují a důsledky
kompromitace osobního kvalifikovaného certifikátu vůbec neznají. Vloni
údajně proběhla nějaká školení lékařů na téma eReceptu, ale žádný z
účastníků, se kterýma jsem měl možnost mluvit, nějakou přednášku na téma
počítačové bezpečnosti od SUKLu jakožto garanta eReceptu v rámci těchto
školení nezaregistroval. Přitom si většina těch lékařů osobní
kvalifikovaný certifikát pořizovala jen kvůli eReceptu...
Díky
jf
Další informace o konferenci Hw-list